С помощью Wireshark я вижу, что каждые 5 минут мой компьютер подключается к ip 165.254.162.243 на udp / 8253. Это продолжается уже несколько месяцев. Я не могу определить, какое приложение или процесс устанавливает эту связь. Я использовал Wireshark для захвата трафика и все, что я вижу, это: ... Протокол дейтаграмм пользователя, порт Src: 62841, порт Dst: 8253 Данные (20 байт) Данные: a67c010000010000000000000269700000010001 [Длина: 20]
с последующим ответом от 165.254.162.243: ... Протокол дейтаграмм пользователя, порт Src: 8253, порт Dst: 62841 Данные (36 байт) Данные: a67c810000010001000000000269700000010001c00c0001 ... [Длина: 36]
Я безуспешно пытался убить процессы и посмотреть, остановился ли трафик. Кажется, что IP-адрес динамически назначается в Энглвуде, Колорадо.
Сейчас я запускаю Perl-скрипт, записывающий вывод "netstat -a -n -p tcp -b
"каждые 0,1 секунды в надежде зафиксировать виновника. Пока не повезло, интервал в 0,1 секунды, кажется, пропускает соединение (записано Wireshark).
Любые предложения о том, как я могу сузить кругозор, какое приложение устанавливает эти связи?
Покажи нам...
В IP-адрес 165.254.162.243 находится на AS14627, компании Vitalwerks. WHOIS сообщает мне, что у них есть все / 24.
Беглый взгляд на Google показывает, что Vitalwerks - это название компании NoIP.com, поставщик динамического DNS.
Вы установили инструмент динамического обновления DNS или какое-либо другое программное обеспечение от этой компании? Если так, вы, вероятно, обнаружите, что это источник.
Если у вас есть не, то вы можете обнаружить, что источником является вредоносное ПО. Как вы помните, несколько лет назад Microsoft добилась от федерального суда США разрешения на сверхширокий захват доменов noip.com чтобы остановить ботнет, который использовал некоторые поддомены.